无线局域网无线控制器管理用户通过RADIUS服务器认证的配置-Cisco

无线局域网无线控制器管理用户

通过RADIUS 服务器认证的配置举例

简介 2

先决条件 2

要求2

组件使用2

配置 2

网络图2

无线控制器的配置3

思科SECURE ACS 的配置4

将无线控制器作为AAA 客户端添加到RADIUS 服务器5

配置用户和其相应的RADIUS IETF 属性。6

配置具有读写访问权限的用户6

配置只读访问用户8

无线控制器本地管理用户11

验证12

故障排查14

简介

本文档介绍了如何配置无线控制器 (WLC )和访问控制服务器(思科 Secure ACS 的)，使得

AAA 服务器可以对无线控制器进行管理用户的身份验证。还介绍了如何使用从思科 Secure

ACS 的RADIUS 服务器返回的供应商特定属性(VSA )使不同的管理用户可以得到不同的权限。

先决条件

要求

确保满足下列要求再尝试配置：

*了解如何在无线控制器上配置基本参数

*了解如何配置RADIUS 服务器，例如思科 Secure ACS 的知识

组件使用

本文档中的信息基于下列软件和硬件版本：

*运行 版本的思科4400 无线控制器

*配置为RADIUS 服务器的思科Secure ACS，使用软件版本4.1 。

本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺

省(默认)配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带

来的潜在影响。

配置

网络图

本文使用的网络设置如下图所示：

此配置示例使用下列参数：

*思科Secure ACS 的IP 地址 - /

*无线控制器管理接口的IP 地址 - 0/

*无线控制器和RADIUS 服务器使用的共享密钥 - asdf1234

*在ACS 配置两个用户的身份凭据：

o 用户名 – acsreadwrite ；密码 - acsreadwrite

o 用户名 – acsreadonly ；密码 - acsreadonly

你需要配置无线控制器和思科Secure ACS 达到下面目的：

*任何用户登录到无线控制器的用户名和密码是 acsreadwrite 时，给予其充分的无线控制器

的管理访问权限。

*任何用户登录到无线控制器的用户名和密码为acsreadonly 时，无线控制器只能只读访问。

无线控制器的配置

配置无线控制器接受在思科Secure ACS 服务器认证管理用户。完成下列步骤以配置无线控制

器，以便它可以与RADIUS 服务器通信。

1.从无线控制器GUI 界面单击“安全”。从左侧的菜单中单击RADIUS > Authentication。RADIUS

认证服务器页面出现。单击新建添加一个新的 RADIUS 服务器。在 RADIUS Authentication

Servers > New 页面，输入RADIUS 服务器的具体参数。下面是一个例子。

2.选择Management 单选按钮以便让RADIUS 服务器来验证登录到无线控制器的用户。

注意：请确保此页上配置的共享密钥与RADIUS 服务器上配置的共享密钥匹配。

3.验证是否在无线控制器上配置了思科Secure ACS 。为了做到这一点，单击安全选项卡。由

此产生的GUI 窗口类似此范例。

你可以看到，RADIUS 服务器 启用了 Management 复选框。这说明该ACS 服务器

允许验证无线控制器的管理用户。

思科Secure ACS 的配置

完成下列章节中的步骤，以便配置ACS ：

1. 将无线控制器作为AAA 客户端添加到RADIUS 服务器

2. 配置用户和其相应的RADIUS IETF 属性。

3. 配置读写权限的用户。

4. 配置只读访问的用户。

将无线控制器作为AAA 客户端添加到RADIUS 服务器

在思科Secure ACS 上完成下列步骤以便增加无线控制器作为AAA 客户端。

1.从ACS 的GUI 界面单击网络配置 。

2.在AAA 客户端处单击添加条目 。

3.在添加AAA 客户端的窗口，输入无线控制器的主机名，无线控制器的IP 地址和共享密钥。

在这个例子中，这些设置为：

*AAA 客户端的主机名是WLC-4400

*AAA 客户端的IP 地址是0/16。

*共享密钥是“asdf1234 ”。

该共享密钥必须与您在无线